مقالات

مدل بلوغ آگاهی امنیت سایبری سازمان

این مدل که در سال ۲۰۱۱ توسط موسسه SANS ایجاد شده‌است، باعث شد تا مؤسسات و شرکت‌ها بتوانند میزان پیشرفت برنامه آگاهی امنیت خود، میزان پیشرفت آن در صورت وجود یک مدیر شایسته و راه رسیدن به آن را اندازه‌گیری کنند. این مدل بر اساس پنج مرحله مختلف طراحی شده است.

 

  • تعریف نشده: برنامه آگاهی رسانی امنیتی وجود ندارد. کارکنان هیچ اطلاعاتی در رابطه با اینکه هدف حملات امنیتی بوده، اعمال‌شان اثر مستقیم بر امنیت شرکت داشته، سیاست‌های شرکت چه بوده و چطور به آسانی می‌توانند طعمه حملات امنیتی قرار بگیرند، ندارد.
  • بر طبق دستور: برنامه آگاهی رسانی امنیتی در وهله اول برای پیروی از دستورات و قوانین خاص یا برای بازرسی‌ها طراحی شده‌است. آموزش‌ها محدود و به‌صورت سالیانه و یا تنها برای یک منظورهستند. کارکنان از سیاست‌های شرکت یا از نقش خود در راستای محافظت از دارایی‌های اطلاعاتی شرکت، اطمینان ندارند.
  • تغییر در رفتار: برنامه آگاهی امنیتی، موضوعاتی که بیشترین تاثیر را در پشتیبانی از هدف شرکت دارند شناسایی کرده و تمرکز خود را بر روی آنها می‌گذارد. برنامه پارا از آموزش‌های سالیانه فراتر گذاشته و در طی سال به‌صورت مستمر تقویت می‌شود. محتوای این برنامه‌ها طوری منتقل می‌شوند که باعث تغییر رفتار در محل کار، خانه و هنگام مسافرت، می‌شود؛ در‌نتیجه افراد از سیاست‌های شرکت در این زمینه پیروی کرده و  فعالانه حوادث را شناخته از وقوع آن جلوگیری کرده و آنها را گزارش می‌کند.
  • پایداری طولانی‌مدت و فرهنگ‌سازی: برنامه آگاهی امنیتی دارای فعالیت‌ها، منابع و پشتیبانی مدیریت برای داشتن چرخه عمر بالا است. این امر شامل حداقل یک بررسی و یک به‌روزرسانی به‌صورت سالانه است؛ درنتیجه این برنامه به‌عنوان قسمتی از فرهنگ شرکت در جریان و قابل توجه است.
  • چارچوبی برای اندازه‌گیری: برنامه آگاهی دارای یک چارچوب قدرتمند برای اندازه‌گیری و بررسی پیشرفت و میزان تاثیر است؛ در‌نتیجه این برنامه به‌طور مداوم بهبود یافته و هزینه‌های صرف‌شده بر روی آن را برمی‌گرداند. این مرحله بدین معنی نیست که سایر مراحل این چارچوب را ندارند بلکه این نکته را خاطرنشان می‌کند که برای داشتن یک برنامه آگاهی امنیتی بالغ و رسیدن به موفقیت، شما باید این چارچوب را داشته‌باشید.

 

بازگشت به لیست